Le Tue, 05 Jun 2007 17:40:11 +0200, Damien Ulrich a écrit: > Le mardi 5 juin 2007 17:01, BOURGEOIS Christophe a écrit : >> J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant >> plusieurs heures il y a eu des tentatives de connexion avec des comptes >> qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour >> blacklister automatiquement une adresse ip après un certain nombre de >> tentatives de connexion infructueuses ? > > fail2ban est idéal, il me semble
J'approuve. Il a d'ailleurs été « paquet debian du jour » il n'y a pas bien longtemps. C'est très pratique à mettre en place : dans la config par défaut, il bloque pendant 5 minutes toute IP qui fait plus de trois tentatives infructueuses de connexion ssh en moins de 5 minutes. Il faut savoir que 99% des agresseurs ne reviendront pas après seulement 5 minutes, et que pour un utilisateur malchanceux c'est pas très gênant non plus. C'est très simple à configurer (dans jail.conf qui se lit comme un roman) et ça peut prendre en charge les tentatives de connexions sur tes autres services (ftp, mail...) si tu en as. Manuel. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
